医院患者病历信息保密服务合同

医院患者病历信息保密服务合同医院患者病历信息保密服务合同甲方（医疗机构）：名称：___________________________地址：___________________________法定代表人/负责人：_______________联系电话：_______________________统一社会信用代码：_______________乙方（保密服务提供方）：名称：___________________________地址：___________________________法定代表人/负责人：_______________联系电话：_______________________统一社会信用代码：_______________资质证明：□数据安全等级保护三级认证□医疗信息系统服务资质□其他：_________鉴于1.甲方系依法设立的医疗机构，持有《医疗机构执业许可证》，需严格遵守《中华人民共和国个人信息保护法》《医疗纠纷预防和处理条例》《医疗机构病历管理规定》等法律法规，对患者病历信息（含电子、纸质）承担保密义务；2.乙方具备相应保密服务资质及技术能力，同意为甲方提供患者病历信息保密服务；3.双方经平等协商，就保密服务相关权利义务达成一致，签订本合同。第一条定义与范围1.患者病历信息：指甲方诊疗活动中形成的所有患者资料，包括但不限于：（1）患者身份信息（姓名、身份证号、联系方式、住址等）；（2）诊疗信息（疾病诊断、治疗方案、手术记录、检验报告、护理记录等）；（3）费用信息（医疗费用明细、医保结算记录等）；（4）符合医疗法规定义的其他病历资料。2.保密服务：指乙方为甲方提供的病历信息存储、传输、访问控制、安全防护、应急处理等服务（具体内容见附件1《保密服务清单》）。3.保密信息：除患者病历信息外，还包括双方合作过程中知悉的甲方运营数据、乙方服务技术细节等未公开信息。第二条服务内容与标准1.电子病历存储：（1）存储位置：乙方需将电子病历存储于甲方指定的合规数据中心（或经甲方书面同意的第三方托管中心）；（2）加密要求：采用AES-256加密算法对存储数据加密，密钥由甲方独立保管；（3）备份机制：每日增量备份、每周全量备份，备份数据异地存储，留存期限不少于15年。2.访问权限管理：（1）分级授权：仅甲方授权的医护人员、管理人员可访问，权限需与岗位职责匹配；（2）访问日志：实时记录所有访问行为（含访问人、时间、内容、IP地址），日志留存不少于5年；（3）身份验证：采用双因素认证（密码+动态令牌），禁止共享账号。3.传输安全：（1）传输协议：采用HTTPS/SSL加密传输，禁止明文传输；（2）传输范围：仅允许在甲方内部网络与乙方服务系统之间传输，禁止向第三方泄露传输链路。4.纸质病历管理（若涉及）：（1）存储场所：需符合防火、防盗、防潮标准，配备24小时监控；（2）借阅流程：仅甲方授权人员可借阅，需登记借阅人、时间、归还日期，逾期未还需立即核查。5.应急处理：乙方需制定《病历信息安全事件应急预案》（附件2），明确数据泄露、丢失、系统故障等场景的处置流程。6.安全审计：每季度开展1次内部安全审计，每年委托第三方机构开展1次合规评估，审计/评估报告提交甲方备案。第三条双方权利义务（一）甲方权利1.要求乙方按合同约定提供保密服务，监督服务质量；2.查阅乙方服务记录、访问日志、安全审计报告；3.要求乙方对服务中的违规行为整改，或追究违约责任；4.合同终止后，要求乙方返还/销毁所有病历信息并出具证明。（二）甲方义务1.向乙方提供合法、完整的病历信息，明确授权访问人员名单及权限；2.按时支付保密服务费；3.配合乙方开展安全检查、应急演练；4.发现病历信息泄露/疑似泄露时，24小时内通知乙方并协助处置；5.对乙方提供的保密服务技术细节承担保密义务。（三）乙方权利1.按合同约定收取保密服务费；2.要求甲方提供必要的授权文件、病历信息及配合资料；3.对甲方违规操作（如超权限访问）提出整改要求。（四）乙方义务1.具备本合同约定的保密服务资质，定期更新资质证明并提交甲方；2.严格遵守国家医疗及信息安全法律法规，不得泄露、篡改、非法使用任何病历信息；3.为参与服务的员工签署《保密承诺书》（附件3），并将员工名单及承诺书提交甲方备案；4.发生病历信息安全事件（泄露、丢失、篡改等）时，需在24小时内通知甲方，同时采取以下措施：（1）封锁漏洞，阻止事件扩大；（2）配合甲方通知受影响患者（若需）；（3）向监管部门报告（若符合法定报告要求）；（4）30日内提交事件调查报告；5.合同终止后15日内，按甲方要求：（1）返还电子病历至甲方指定服务器（需完成数据校验）；（2）返还纸质病历至甲方指定地点；（3）对未返还的病历信息进行不可逆销毁（电子数据：物理删除+数据擦除；纸质病历：粉碎处理），并出具《销毁证明》（附件4）；6.合同终止后3年内，仍需对已接触的病历信息承担保密义务。第四条服务费及支付1.服务费标准：（1）电子病历服务：______元/年（按存储容量______TB计算，超出部分按______元/GB/年收取）；（2）纸质病历服务：______元/年（按存储量______册计算，超出部分按______元/册/年收取）；（3）年度安全评估费：______元/年；（4）总服务费：______元/年。2.支付方式：甲方于每年______月______日前，通过银行转账支付当年服务费至乙方指定账户：账户名称：___________________________开户银行：___________________________账号：_______________________________3.发票要求：乙方需在收到款项后5日内，开具正规增值税发票（项目：医疗信息保密服务）。第五条违约责任1.乙方违约：（1）未按合同提供服务：甲方有权要求整改，逾期7日未整改的，甲方可解除合同，乙方需退还已收服务费并支付合同总金额20%的违约金；（2）泄露病历信息：乙方需承担以下责任：①支付违约金：合同总金额的50%（或实际损失的100%，以较高者为准）；②赔偿损失：包括甲方及患者的直接损失（如医疗费、误工费）、间接损失（如律师费、诉讼费、声誉损失）；③甲方有权立即解除合同，且乙方需配合甲方处理后续事宜；（3）未按要求销毁病历信息：乙方需支付合同总金额30%的违约金，若造成损失需全额赔偿。2.甲方违约：（1）未按时支付服务费：按日支付逾期金额万分之五的违约金，逾期30日的，乙方有权暂停服务；（2）超权限访问或提供虚假病历信息：甲方需赔偿乙方因此遭受的损失。3.不可抗力：因地震、战争等不可抗力导致服务中断的，乙方需立即通知甲方并采取补救措施，若能证明已尽合理防护义务，可免除部分责任；但因乙方未尽安全义务导致的不可抗力损失，乙方需承担全部责任。第六条合同期限与终止1.期限：自______年______月______日起至______年______月______日止，共______年。2.续签：合同期满前30日，双方协商续签；未续签的，合同自动终止。3.提前终止：（1）双方协商一致可提前终止；（2）一方严重违约，另一方有权书面通知后终止合同。第七条争议解决1.本合同履行中发生争议，双方先协商解决；2.协商不成的，提交甲方所在地人民法院诉讼解决；3.诉讼期间，除争议事项外，双方需继续履行合同其他条款。第八条其他1.本合同附件（《保密服务清单》《应急预案》《保密承诺书》《销毁证明》）为本合同组成部分，与本合同具有同等法律效力；2.乙方不得将本合同项下服务转包/分包（经甲方书面同意除外）；3.本合同一式两份，甲乙双方各执一份，自双方签字盖章之日起生效。甲方（盖章）：_